首页> 图书频道> 教育> 高等教育

4.6.4入侵检测系统(Intrusion Detection System,IDS)

2025年11月13日
版权
4.6.4入侵检测系统(Intrusion Detection System,IDS)

IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术

不同于防火墙,IDS入侵检测系统是一个监听设备,因此对IDS的部署,唯一的要求是IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是服务器区域的交换机上、因特网接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域中。Venustech(启明星辰)、360、Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。

入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被判定为入侵;后者则相反,先要将所有可能发生的不利的、不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被判定为入侵。

这两种模式的安全策略是完全不同的,而且,它们各有长处和短处。异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此,这种策略误报率较高;误用检测由于直接匹配比对异常的不可接受的行为模式,因此,误报率较低。但恶意行为千变万化,可能没有被收集在行为模式库中,因此,漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。现在,用户都采取两种模式相结合的策略。

1.在异常入侵检测系统中常常采用的检测方法

(1)基于贝叶斯推理检测法。通过在任何给定的时刻,测量变量值,推理判断系统是否发生入侵事件。

(2)基于特征选择检测法。指从一组度量中挑选出能检测入侵的度量,用它来对入侵行为进行预测或分类。

(3)基于贝叶斯网络检测法。用图形方式表示随机变量之间的关系,通过指定的与邻接节点相关的一个小的概率集来计算随机变量的连接概率分布。按给定全部节点组合,所有根节点的先验概率和非根节点的概率构成这个集合。贝叶斯网络是一个有向图,弧表示父、子结点之间的依赖关系。当随机变量的值变为已知时,就允许将它吸收为证据,为其他的剩余随机变量条件值判断提供计算框架。

(4)基于模式预测的检测法。事件序列不是随机发生的,而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件,其特点是事件序列及相互联系被考虑到了,只关心少数相关安全事件是该检测法的最大优点。

(5)基于统计的异常检测法。根据用户对象的活动为每个用户都建立一个特征轮廓表,通过对当前特征与以前已经建立的特征进行比较,来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新,在特征轮廓表中包含的许多衡量特征量,如CPU的使用、I/O的使用、一段时间内网络连接次数、审计记录的分布情况等,这些特征量指标值都需要通过一段时间的统计才能得到。

(6)基于机器学习检测法。根据离散数据临时序列学习获得网络、系统和个体的行为特征,并提出了一个实例学习法IBL。IBL基于相似度,该方法通过新的序列相似度计算将原始数据(如离散事件流和无序的记录)转化成可度量的空间。然后,应用IBL学习技术和一种新的基于序列的分类方法,发现异常类型事件,从而检测入侵行为。其中,成员分类的概率由阈值的选取来决定。

(7)数据挖掘检测法。数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在,审计记录大多都是以文件形式存放的。如果靠手工方法来发现记录中的异常现象是远远不够的,所以将数据挖掘技术应用于入侵检测中,可以从审计数据中提取有用的知识,然后用这些知识检测异常入侵和已知的入侵。采用的方法有KDD算法,其优点是善于处理大量数据的能力与数据关联分析的能力,但是实时性较差。

(8)基于应用模式的异常检测法。该方法根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较,从而发现异常行为。

(9)基于文本分类的异常检测法。该方法是将系统产生的进程调用集合转换为“文档”,利用K邻聚类文本分类算法,计算文档的相似性。

2.误用入侵检测系统中常用的检测方法

(1)模式匹配法。常被用于入侵检测技术中,它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较,从而发现违背安全策略的行为。模式匹配法可以显著地减少系统负担,有较高的检测率和准确率。

(2)专家系统法。这个方法的思想是把安全专家的知识表示成规则知识库,再用推理算法检测入侵。主要是针对有特征的入侵行为。

(3)基于状态转移分析的检测法。该方法的基本思想是将攻击看成一个连续的、分步骤的,并且各个步骤之间有一定的关联的过程。在网络中发生入侵时,及时阻断入侵行为,防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中,一个渗透过程可以看作是由攻击者做出的一系列的行为,导致系统从某个初始状态变为最终某个被危害的状态。